Limitare i permessi degli utenti e installazione applicazioni sushare.

[mirto]

Salve sono un admin alle primissime armi e vorrei porvi delle questioni
che probabilmente per voi saranno banali ma che per me in questo momento
sono fondamentali.
Allora, ho degli utenti piuttosto sconclusionati che installano tutto
quello che trovano in giro per la rete per poi lasciare al sottoscritto
l'incombernsa di risolvere i problemi che ne possono derivare. Vi dico
subito che la rete è mista win98 e winxp (+ più forse un paio di
win2000) e di un DC che controlla per ora solo una minima parte di
client. Il resto dei client è in regime di anarchia totale. Quello che
voglio fare èlimitare i permessi degli utenti al massimo. Per esempio ho
inserito una macchina xp nel dominio e messo l'utente nel gruppo users,
detto utente non era più in grado di avviare coreldraw. Ho tentato di
cambiare i permessi della cartella del software dando pieno controllo
all'utente interessato, senza ottenere alcun cambiamento. Oppure nello
stesso caso l'antivirus f-prot non funzionava più in quanto tentava di
accedere in scrittura al registro senza riuscirci.
Per far funzionare le applicazioni vorrei evitare di poter dare
all'utente permessi di amministrazione perchè non voglio che l'utente
sia libero di installare qualunque genere di software. Oltre al fatto
che credo che avere credenziali elevate possa rendere la vita
più facile a contaminazioni virali.
Altra cosa, quando installo un applicazione usando l'account di
amministratore poi non mi ritrovo da utente nel menu avvio i vari link
per lanciare il software. E mi tocca copiare i link direttamente dal
profilo dell'amministratore. Questa cosa mi succeda anche
nell'installazione di Office.
Sempre a proposito di installazione di applicazioni, ho letto da qualche
parte che è possibile installare un software su una share in remoto in
modo da poter installarlo una sola volta per tutti gli utenti (?!?), è
una cosa possibile ? .. In linea di logica la risposta è no, perchè
dovrebbero comunque mancare delle dll in locale. Mi potreste chiarire il
concetto ?
Parlando di profili. Di nuovo aggiungo una macchina al dominio, il
client (sempre xp) crea un nuovo profilo per l'utente di dominio. Ma
ovviamente l'utente vuole il suo vecchio profilo, quindi sono andato
nella cartella del vecchio profilo e ho capiato i file nel nuovo. Poi ho
cambiato i permessi mettendo come proprietario di tutti i file e sotto
cartelle e gli oggetti figlio il nuovo utente di dominio. Questa
procedura ècorretta ?
Finora ho parlato di xp, passando a win98 vorrei arrivare a una politica
di restrizione dei permessi anche qui, ma la cosa sembra non "facile"
come su xp, è una cosa possibile oppure mi devo arrendere ? Ho letto che
devo creare un file con poledit, è corretto ?

Grazie a tutti per l'attenzione, spero in qualche risposta illuminte e
qualche consiglio/trucco/sito per rendermi la vita più facile
come admin. Ciao.

[Nacci Giuseppe]

"mirto" <python.python.com> ha scritto nel messaggio
news:20050203222556.4eba6ba7.localhost...
Salve sono un admin alle primissime armi e vorrei porvi delle questioni
che probabilmente per voi saranno banali ma che per me in questo momento
sono fondamentali.

------
no problem, faremo il possibile per aiutarti!!

Allora, ho degli utenti piuttosto sconclusionati che installano tutto
quello che trovano in giro per la rete per poi lasciare al sottoscritto
l'incombernsa di risolvere i problemi che ne possono derivare. Vi dico
subito che la rete è mista win98 e winxp (+ più forse un paio di
win2000) e di un DC che controlla per ora solo una minima parte di
client. Il resto dei client è in regime di anarchia totale. Quello che
voglio fare èlimitare i permessi degli utenti al massimo.

---------
Bene per le restrizioni dei permessi, ma che significa ch il dc controlla
solo una minima parte dei client? Significa che non tutti hanno fatto join
al dominio?
Ti vorrei anche precisare che i win 98 possono fare join al dominio, ma non
sentiranno le policy che andrai a determinare sul DC.

Per esempio ho
inserito una macchina xp nel dominio e messo l'utente nel gruppo users,
detto utente non era più in grado di avviare coreldraw. Ho tentato di
cambiare i permessi della cartella del software dando pieno controllo
all'utente interessato, senza ottenere alcun cambiamento. Oppure nello
stesso caso l'antivirus f-prot non funzionava più in quanto tentava di
accedere in scrittura al registro senza riuscirci.

-----
lega il processo dell'antivirus al sistema e non all'utente.

Per far funzionare le applicazioni vorrei evitare di poter dare
all'utente permessi di amministrazione perchè non voglio che l'utente
sia libero di installare qualunque genere di software. Oltre al fatto
che credo che avere credenziali elevate possa rendere la vita
più facile a contaminazioni virali.
Altra cosa, quando installo un applicazione usando l'account di
amministratore poi non mi ritrovo da utente nel menu avvio i vari link
per lanciare il software. E mi tocca copiare i link direttamente dal
profilo dell'amministratore. Questa cosa mi succeda anche
nell'installazione di Office.
Sempre a proposito di installazione di applicazioni, ho letto da qualche
parte che è possibile installare un software su una share in remoto in
modo da poter installarlo una sola volta per tutti gli utenti (?!?), è
una cosa possibile ? .. In linea di logica la risposta è no, perchè
dovrebbero comunque mancare delle dll in locale. Mi potreste chiarire il
concetto ?
Parlando di profili. Di nuovo aggiungo una macchina al dominio, il
client (sempre xp) crea un nuovo profilo per l'utente di dominio. Ma
ovviamente l'utente vuole il suo vecchio profilo, quindi sono andato
nella cartella del vecchio profilo e ho capiato i file nel nuovo. Poi ho
cambiato i permessi mettendo come proprietario di tutti i file e sotto
cartelle e gli oggetti figlio il nuovo utente di dominio. Questa
procedura ècorretta ?

---------
direi di no, dovresti utilizzare il Copia in del sotto sistema ->
avanzate -> profili utenti e quindi copiarti il vecchio profilo che trovi
sotto Documents and Settings, sul nuovo profilo creato. Così facendo non ti
torneranno i problemi a cui hai fatto riferimento più volte nel post

Finora ho parlato di xp, passando a win98 vorrei arrivare a una politica
di restrizione dei permessi anche qui, ma la cosa sembra non "facile"
come su xp, è una cosa possibile oppure mi devo arrendere ? Ho letto che
devo creare un file con poledit, è corretto ?

-----
Leggi quanto ti ho scritto sopra a riguardo delle policy.

Grazie a tutti per l'attenzione, spero in qualche risposta illuminte e
qualche consiglio/trucco/sito per rendermi la vita più facile
come admin. Ciao.

----
Ciao

Giuseppe Nacci

[Stefano Fio]

Nacci Giuseppe wrote:
> "mirto" <python.python.com> ha scritto nel messaggio
> news:20050203222556.4eba6ba7.localhost...
> Salve sono un admin alle primissime armi e vorrei porvi delle
> questioni
> che probabilmente per voi saranno banali ma che per me in questo
> momento sono fondamentali.
>
> ------
> no problem, faremo il possibile per aiutarti!!
>
> Allora, ho degli utenti piuttosto sconclusionati che installano tutto
> quello che trovano in giro per la rete per poi lasciare al
> sottoscritto l'incombernsa di risolvere i problemi che ne possono
> derivare. Vi dico subito che la rete è mista win98 e winxp (+ più
> forse un paio di
> win2000) e di un DC che controlla per ora solo una minima parte di
> client. Il resto dei client è in regime di anarchia totale. Quello che
> voglio fare èlimitare i permessi degli utenti al massimo.
>
> ---------
> Bene per le restrizioni dei permessi, ma che significa ch il dc
> controlla solo una minima parte dei client? Significa che non tutti
> hanno fatto join al dominio?
> Ti vorrei anche precisare che i win 98 possono fare join al dominio,
> ma non sentiranno le policy che andrai a determinare sul DC.
>
> Per esempio ho
> inserito una macchina xp nel dominio e messo l'utente nel gruppo
> users, detto utente non era più in grado di avviare coreldraw. Ho
> tentato di cambiare i permessi della cartella del software dando
> pieno controllo all'utente interessato, senza ottenere alcun
> cambiamento. Oppure nello stesso caso l'antivirus f-prot non
> funzionava più in quanto tentava di accedere in scrittura al registro
> senza riuscirci.
>
> -----
> lega il processo dell'antivirus al sistema e non all'utente.
>
> Per far funzionare le applicazioni vorrei evitare di poter dare
> all'utente permessi di amministrazione perchè non voglio che l'utente
> sia libero di installare qualunque genere di software. Oltre al fatto
> che credo che avere credenziali elevate possa rendere la vita
> più facile a contaminazioni virali.
> Altra cosa, quando installo un applicazione usando l'account di
> amministratore poi non mi ritrovo da utente nel menu avvio i vari link
> per lanciare il software. E mi tocca copiare i link direttamente dal
> profilo dell'amministratore. Questa cosa mi succeda anche
> nell'installazione di Office.
> Sempre a proposito di installazione di applicazioni, ho letto da
> qualche parte che è possibile installare un software su una share in
> remoto in
> modo da poter installarlo una sola volta per tutti gli utenti (?!?), è
> una cosa possibile ? .. In linea di logica la risposta è no, perchè
> dovrebbero comunque mancare delle dll in locale. Mi potreste chiarire
> il concetto ?
> Parlando di profili. Di nuovo aggiungo una macchina al dominio, il
> client (sempre xp) crea un nuovo profilo per l'utente di dominio. Ma
> ovviamente l'utente vuole il suo vecchio profilo, quindi sono andato
> nella cartella del vecchio profilo e ho capiato i file nel nuovo. Poi
> ho cambiato i permessi mettendo come proprietario di tutti i file e
> sotto cartelle e gli oggetti figlio il nuovo utente di dominio. Questa
> procedura ècorretta ?
>
> ---------
> direi di no, dovresti utilizzare il Copia in del sotto sistema ->
> avanzate -> profili utenti e quindi copiarti il vecchio profilo che
> trovi sotto Documents and Settings, sul nuovo profilo creato. Così
> facendo non ti torneranno i problemi a cui hai fatto riferimento più
> volte nel post
>
> Finora ho parlato di xp, passando a win98 vorrei arrivare a una
> politica
> di restrizione dei permessi anche qui, ma la cosa sembra non "facile"
> come su xp, è una cosa possibile oppure mi devo arrendere ? Ho letto
> che devo creare un file con poledit, è corretto ?
>
> -----

.....si il discorso POLEDIT è corretto, il file generato (.pol) inseriscilo
sotto lo share NETLOGON sul DC.

> Leggi quanto ti ho scritto sopra a riguardo delle policy.
>
> Grazie a tutti per l'attenzione, spero in qualche risposta illuminte e
> qualche consiglio/trucco/sito per rendermi la vita più facile
> come admin. Ciao.
>
> ----
> Ciao
>
> Giuseppe Nacci

--
Stefano FIO - fiostefano.tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------

[mirto]

On Thu, 3 Feb 2005 09:52:18 +0100
"Nacci Giuseppe" <supporto.informaticoNOSPAM.degennaro.biz> wrote:

> no problem, faremo il possibile per aiutarti!!
>

grazie

> Allora, ho degli utenti piuttosto sconclusionati che installano tutto
> quello che trovano in giro per la rete per poi lasciare al
> sottoscritto l'incombernsa di risolvere i problemi che ne possono
> derivare. Vi dico subito che la rete è mista win98 e winxp (+ più
> forse un paio di win2000) e di un DC che controlla per ora solo una
> minima parte di client. Il resto dei client è in regime di anarchia
> totale. Quello che voglio fare èlimitare i permessi degli utenti al
> massimo.
>
> ---------
> Bene per le restrizioni dei permessi, ma che significa ch il dc
> controlla solo una minima parte dei client? Significa che non tutti
> hanno fatto join al dominio?
> Ti vorrei anche precisare che i win 98 possono fare join al dominio,
> ma non sentiranno le policy che andrai a determinare sul DC.
>

esatto, significa che la gran parte dei client per ora non sono ancora
stati joinati.


> -----
> lega il processo dell'antivirus al sistema e non all'utente.
>

uhmm ossia ?
devo dare alla cartella dell'antivirus proprietario SYSTEM ?


> ---------
> direi di no, dovresti utilizzare il Copia in del sotto sistema ->
> avanzate -> profili utenti e quindi copiarti il vecchio profilo che
> trovi sotto Documents and Settings, sul nuovo profilo creato. Così
> facendo non ti torneranno i problemi a cui hai fatto riferimento più
> volte nel post
>

ma quindi se copio il profilo con questa procedura poi i software che
ora l'utente non riesce a lanciare perchè non ha i permessi lo potra'
fare ?
Perchè avevo letto da qualche parte mi sembra che per usare certi
software era necessario avere privilegi elevati, questo lo posso capire
per attività quali la masterizzazzione ma per software tipo coreldraw
mi sembra strano. Sostanzilamente mi confermi che se copio il profilo
con questa procedura poi l'utente puo lanciare coreldraw ?
Mah.. vabbè faccio prima a provare, comunque grazie per l'aiuto.
Ciao.